「セキュリティ」に関連する技術ブログ

企業やコミュニティが発信する「セキュリティ」に関連する技術ブログの一覧です。

要注意!新人エンジニアが発生させた2大脆弱性

はじめに 記事をご覧のみなさん、はじめまして。新卒1年目エンジニアのkasuke18と申します。 ブラウザは圧倒的に Chrome 派です。 今回の記事では私が作ってしまった2大 脆弱性 の XSS と SQLインジェクション について、ソース例を踏まえて原因を追及します。なお、ソースの言語については PHP を利用しています。 この記事が初めてのブログ投稿ですので、「この書き方は

GraphQL運営で考えるべきセキュリティ

単一のエンドポイントで、クライアント側で指定することで任意のデータを取得できるGraphQLですが、ビジネスで利用する際に必ず注意しなければならないのがセキュリティでしょう。GraphQLを利用、提供する上での注意点を紹介します。 認証 GraphQLではサーバサイドのデータベースのようにID/パスワードのような仕組みは用意されていません。他のAPIと同様に、認証技術と

失敗しない Laravel 導入方法

はじめに はじめまして、 ラク ス新卒1年目のMasaKuと申します。 PHP の勉強を開始した当初は「とにかく動かせること」「思い通りに動くこと」だけで満足していました。 しかし、勉強を進めていくうちに「もっと綺麗にできないものか」と思うようになり、 フレームワーク の勉強を開始しました。 フレームワーク は、使い方を覚えるまでは時間がかかるものですが、要

ウエディングパーク完全HTTPSプロジェクトを通じた、完全HTTPS化(常時SSL/TLS化)のススメ

こんにちは。SREチーム エンジニアの西脇(@yasuhiro1711)です。今年4月ウエディングパークはサイトを一部HTTPSから完全HTTPSに移行致しました。移行したことによって、より安心してユーザにもサイトをご利用頂けるようになっております。 完全HTTPS化(常時SSL/TLS化)プロジェクトを実施した4月よりもますます常時SSL化はwebサービスには必須になってきておりますゆえ、そ

Active Directoryの信頼関係を知る

技術四課の鎌田(裕)です。 WorkSpacesは、従来はDirectory ServiceのMiCrosoft Active Directory(以下MSAD)、Simple AD、AD Connectorのいずれかの指定されたドメインでしか展開できない仕様でしたが、MSADを使って信頼関係を確立することで、信頼関係にあるドメインのユーザーにもWorkSpacesが展開できるようになりました。 AWSのセキュリティブログでも、その内容が公開されています。 と書い

CentOS6でDNSサーバを構築してみた

初めまして。エンジニアの阿久津です。 今回は社内でDNSサーバを構築する機会がありましたのでそれを記事にしたいと思います。 概要 CentOS6にBINDをインストールし、DNSサーバ(内部向け用)を構築します。 自身のクライアントPCからDNSサーバに問い合わせて、名前解決ができるところまでがゴールになります。 環境 物理サーバ CentOS release 6.9 (Final) BIND 9.8.2 BINDインストー

JavaからPHPに乗り換えて感じたこと

はじめに はじめまして、新卒一年目のd_ shr と申します。 現在、業務では PHP を用いて開発を行っています。業務に入る前は大学在学中の研究開発や入社後の新人研修で Java を使っていました。 在学中に PHP を学習した経験はありましたが、業務で扱うことになると入出力のチェックなど セキュリティの観点には特に注意しなければいけないため、 プログラミング言語 の

開発本部のセキュリティ知識を底上げする、タスクフォースの進め方

ジョブメドレーの開発運用を担当している 新居 です。 メドレーでは開発本部のメンバーの技術力底上げや課題解決を目的とした短期プロジェクト(タスクフォースと呼んでいます)を実施しています。この取り組みの一環として、6〜8 月はセキュリティ知識の底上げを目指した「セキュリティタスクフォース」を実施しました。今回は、その取り組み内容を紹介します

APIとは。歴史を振り返る

APIはApplication Programming Interface(アプリケーション・プログラミング・インタフェース)の略語です。アプリケーションやシステムを開発するためのインタフェースといった意味になります。 今でこそWeb APIもAPIと呼ばれたりしますが、元々APIというのはデスクトップアプリケーションで用意されている仕組みでした。例えばExcelを外部プログラミングから呼び出してデータ

Speed Indexを使ったWebパフォーマンス改善の振り返り

こんにちは。制作部の苅部です。 今回は、サービス横断でのWebパフォーマンス改善を1年間続けた中で指標としてSpeed Indexを採用した振り返りを書き残しておこうと思います。 Speed Indexとは 時間ごとの描画面積で算出される値で、体感速度の指標として参考にすることができます。 UX向上としてのWebパフォーマンス改善を考える時に、他の指標よりも役に立ちます。 DOMConte

意図しない処理が実行されるCSRFとは?概要と対策

はじめに  こんにちは、mickey-STRANGEです。昨年に新卒で ラク スに入社しました2年目です。  新卒に毛が生えた程度の新米エンジニアですが、今回はその数少ない毛の中から学生時代に意識したことのなかったものという観点で 脆弱性 のお話を選び、記事にしました。新しくWeb開発企業に入社した新卒の方の学習の手助けになればと思います。 目次 はじめに 脆弱性と

ソフトウェアテストについて簡単にまとめてみた

はじめに はじめまして。開発エンジニアのamdaba_sk( ペンネ ーム未定)です。 ラク スに新卒で入社し、今年で2年目になります。 先日 ラク スオフィス内にあります共用本棚に「知識ゼロから学ぶ ソフトウェアテスト 【改訂版】」を見つけました。 ちょうどテストコードの書き方に悩んでいたところで 勝手に 自主的にこれを読みましたので、少し内容をまとめてみよう

ビジネスを加速する送金APIまとめ

FinTechの世界が拡大していく中で、お金を送る、または受け取るというごく基本的な行為についてもAPIが登場しています。APIを使って送れるようになれば、より高速でシステマチックに金融情報のやり取りが進むようになるでしょう。 今回はそうした送金、お金の受け取りをAPIで提供するサービスを紹介します。 TransferWise API Documentation グローバルな送金サービス、TransferWi

SRE育成プロジェクト(APOLLO計画)でアストロノート1号になってみた!!

iOSエンジニアの西川です! kurashiru(クラシル)のiOSアプリの開発を担当しています。 前回のdely engineering blogで紹介させていただいたAPOLLO計画にアストロノート一号として選ばれた僕がこの計画の感想を書いていきたいと思います。 未来のSREを最速で育てる!dely流SRE育成術、APOLLO計画の紹介 APOLLO計画ではSRE候補者のことをアストロノートと呼んでいます。 アストロノート1

NDB オープンデータをオープン化してみた話

開発本部の平山です。先日、社内勉強会「TechLunch」にて社外に公開できない内容の発表をしてしまいましたので、その代わりとして、厚生労働省が提供する「NDB オープンデータ」をオープン化した話について、ブログを書こうと思います。  NDB オープンデータとは? www.mhlw.go.jp 作成の背景 ◆ レセプト情報・特定健診等情報データベース(NDB)は、悉皆性が高いレセプト
技術ブログを絞り込む

TECH PLAY でイベントをはじめよう

グループを作れば、無料で誰でもイベントページが作成できます。情報発信や交流のためのイベントをTECH PLAY で公開してみませんか?